Kaspersky: cyberprzestępczość i bezpieczeństwo IT
2007-01-29 00:03
Przeczytaj także: Kaspersky: ataki internetowe na firmy
Opozycja biernaOpozycja bierna obejmuje metody utrudniające analizowanie i/lub wykrywanie złośliwej zawartości. W tym celu można zastosować różne podejścia (dynamiczne generatory kodu, polimorfizm itd.), jednak w większości przypadków autorzy złośliwych programów nie wkładają wiele czasu czy wysiłku w opracowywanie tego typu mechanizmów. Stosują o wiele prostsze rozwiązanie: tak zwane kompresory. Są to narzędzia wykorzystujące wyspecjalizowane algorytmy w celu zakodowania określonego programu wykonywalnego przy jednoczesnym zachowaniu jego funkcjonalności. Użycie kompresora znacznie ułatwia zadanie złośliwemu użytkownikowi: aby program antywirusowy nie mógł wykryć znanego złośliwego programu, autor nie musi już pisać go od nowa - cała jego praca sprowadza się do przepakowania go przy pomocy kompresora, który nie jest znany programowi antywirusowemu. Rezultat jest taki sam, koszty - znacznie niższe.
Jak wspomniano wyżej, w ten sposób spakowana jest większość złośliwych plików wykonywalnych. Rysunek 2 pokazuje liczbę spakowanych złośliwych programów w porównaniu z całkowicie nowymi.
fot. mat. prasowe
Rys. 2: Wzrost liczby spakowanych próbek. Źródło: Kaspersky Lab
Rys. 2: Wzrost liczby spakowanych próbek. Źródło: Kaspersky Lab
Jak podkreśla autor, nie ma sensu stosowanie kompresorów, które są już wykrywane przez programy antywirusowe - w rezultacie produkt antywirusowy przechwyci oryginalny złośliwy kod. Dlatego obecnie cyberprzestępcy coraz częściej wykorzystują kompresory, które nie są znane branży antywirusowej; takie kompresory rozpowszechniane są jako kompresory "standardowe", zmodyfikowane lub przerobione przez samych autorów. Wzrost liczby nowych złośliwych programów spakowanych za pomocą kompresorów, które nie są rozpoznawane przez oprogramowanie Kaspersky Anti-Virus pokazuje rysunek 2.
Ostatnio pojawia się coraz więcej tzw. "sandwichów", złośliwych programów spakowanych przy użyciu kilku kompresorów jednocześnie w nadziei, że programy antywirusowe nie będą w stanie wykryć przynajmniej jednego kompresora. Wzrost użycia "sandwichów" w stosunku do liczby nowych spakowanych złośliwych programów pokazuje rysunek 3.
Przeczytaj także:
Ransomware: trojan Koler wyłudza okup
![Ransomware: trojan Koler wyłudza okup [© Maxim_Kazmin - Fotolia.com] Ransomware: trojan Koler wyłudza okup](https://s3.egospodarka.pl/grafika2/koler/Ransomware-trojan-Koler-wyludza-okup-141076-150x100crop.jpg)
oprac. : Aleksander Walczak / eGospodarka.pl
Więcej na ten temat:
cyberprzestępcy, przestępstwa internetowe, złośliwe programy, złośliwe oprogramowanie, trojany, ataki internetowe, bezpieczeństwo w sieci